流量反作弊(3)2023 BlackHat-Leveraging Streaming-Based Outlier Detection and SliceLine to Stop Heavily Distributed Bot Attacks
在本篇文章中我们将讨论DataDome公司[1]是如何利用基于流的异常值检测和 SliceLine 来快速安全地生成大量可用于阻止恶意流量的规则/签名。虽然机器学习(ML)的使用变得越来越普遍,但在安全环境中规则仍然很重要。事实上,公司已经投资了大量有效的规则引擎,能够快速评估大量规则。此外,规则通常更方便创建、操作和解释,因此在ML方法之外仍然很有价值。
虽然 SliceLine 最初设计用于识别 ML 模型表现不佳的数据子集,但它的使用可以适应以无监督方式生成大量与攻击相关的规则,即不使用标记数据。此外,利用机器人检测问题来说明如何使用 SliceLine 即时生成大量恶意签名。
该研究还将展示优化的 SliceLine Python 开源实现,并展示如何将其用于特定但困难的机器人检测子集:分布式凭证填充攻击,攻击者利用数千个受感染的 IP 地址进行攻击和绕过传统的安全机制,例如速率限制策略。通过一个真实世界的例子,该研究将首先解释如何使用基于流的检测来检测此类攻击,以及该研究如何使用数据建模在服务器端信号(HTTP 标头、TLS 指纹、IP 地址等)上应用 SliceLine 来识别并生成与分布式攻击相关的阻止签名。这种方法使该研究能够在去年阻止 59 位客户超过 2.85 亿次恶意登录尝试。
最后,该研究将解释这种方法如何推广到除机器人检测之外的其他安全用例,以及如何在不同的规则引擎中使用它。